Специалисты Positive Technologies рассказали об обнаружении новой хак-группы Lazy Koala. По данным исследователей, преступники используют простые, но эффективные техники атак. Жертвами группировки уже стали организации из России и шести стран СНГ. Суммарно на сегодняшний день скомпрометировано порядка 867 учетных записей сотрудников.
Серия атак, направленных на государственные структуры России, Беларуси, Казахстана, Узбекистана, Кыргызстана, Таджикистана, Армении, была обнаружена в первом квартале 2024 года. Жертвами атак стали государственные и финансовые компании, а также медицинские и образовательные учреждения из перечисленных стран.
Общее количество скомпрометированных учетных записей на момент обнаружения составило 867, из них уникальных — 321. В настоящее время все жертвы уже напрямую уведомлены нами о компрометации.
Учитывая географическое расположение жертв, а также используемый группировкой арсенал, можно предположить, что злоумышленники как-то связны с группой YoroTrooper, которая использовала схожие техники и инструменты. Однако исследователям не удалось обнаружить какие-либо пересечения.
Стоящая за этими инцидентами группировка получила имя Lazy Koala («Ленивая коала») из-за простых техник и имени пользователя, который управлял Telegram-ботами с украденными данными.
Малварь, которую использовала группа, исследователи назвали LazyStealer из-за простоты реализации. Однако отмечается, что атаки с использованием этого стилера оказались весьма продуктивными. Точный вектор заражения специалистам установить не удалось, но предполагается, что был фишинг.
«Почерк новой группировки можно описать как “сложно не значит лучше”. Lazy Koala не прибегает к изощренному инструментарию, тактикам и техникам, но при этом добивается успеха. Их основное оружие — примитивный стилер, написанный на языке Python, который, по нашим предположениям, распространяется при помощи старого доброго фишинга. Мошенники убеждают жертву открыть вложение и запустить нужный файл в браузере. Причем для каждой страны вложения подготовлены на национальном языке. Освоившись на зараженном устройстве, ВПО отправляет украденные данные с помощью полюбившегося злоумышленникам мессенджера Telegram», — комментирует Денис Кувшинов, руководитель отдела исследования киберугроз экспертного центра безопасности Positive Technologies.
Судя по всему, основной целью злоумышленников была кража учетных записей от различных сервисов с компьютеров сотрудников государственных организаций. Эту информацию преступники, вероятно, намеревались использовать в дальнейших атаках уже на внутренние структуры компаний. Также украденные данные такого рода можно продать в даркнете.